Modelo cesión de datos a terceros
¿Quién no tiene hoy en día en su negocio contratados determinados servicios con terceras empresas? La intervención de terceros ajenos a la empresa para realizar un determinado servicio en muchas ocasiones requiere de la cesión de datos a terceros.
¿Cómo puedo ceder datos a un tercero?
La cesión de datos a terceros tiene que estar regulada en un contrato que deberá constar por escrito. O en alguna otra forma que permita acreditar su celebración y contenido. Estableciéndose expresamente que:- el encargado únicamente tratará los datos conforme a las instrucciones del responsable del tratamiento,
- no los aplicará o utilizará con fin distinto al que figure en dicho contrato,
- ni los comunicará, ni siquiera para su conservación, a otras personas,
- las medidas de seguridad que el encargado del tratamiento está obligado a implementar e
- indicaciones de cualquier otra índole sobre el tratamiento de los datos.
La cesión de datos a terceros en el RGPD
La Agencia Española de Protección de Datos (AEPD) publicó una Guía con las directrices para la elaboración de contratos entre Responsables y Encargados del Tratamiento.Aquí se incluyen los puntos clave a tener en cuenta en esta relación contractual conforme las nuevas implicaciones legales establecidas por el RGPD, aplicable a partir de mayo de 2018. El RGPD se va a aplicar al tratamiento de datos personales en el contexto de las actividades de un establecimiento del encargado en la UE. Independientemente de que el tratamiento tenga lugar en la UE o no. También se aplicará al tratamiento de datos personales de interesados que residan en la UE realizado por un encargado no establecido en la UE en determinados supuestos.Deber de diligencia por parte del responsable del tratamiento
El responsable del tratamiento tiene una obligación de diligencia en la elección del encargado.Ya que éste sigue asumiendo la responsabilidad del correcto tratamiento de los datos personales que el encargado trate por cuenta del responsable. Por su parte, el encargado del tratamiento tiene el deber de adoptar todas las medidas necesarias para la protección de los datos personales. Y se comprometerá a no utilizarlos para finalidades distintas a las pactadas con el responsable del tratamiento.Siempre firmar un contrato por escrito
Por lo tanto, en cada relación profesional que suponga acceso a datos personales que la empresa establezca con terceros externos, es muy importante que se asegure que el correspondiente contrato de prestación de servicios refleje todos los condicionantes indicados en el artículo 12 de la LOPD, como mínimo:
- Tratar los datos conforme a las instrucciones del responsable del tratamiento.
- No utilizarlos con un fin distinto al estipulado en el referido contrato. Ni comunicarlos ni siquiera para su conservación a otras personas.
- Cumplida la prestación contractual, los datos así como cualquier soporte o documento que los contenga deben ser devueltos al responsable del tratamiento o bien ser destruidos.
- No podrá subcontratar con un tercero, salvo si ha obtenido autorización del responsable para hacerlo.
¿Quién tiene que firmar ese contrato?
El contrato de tratamiento de datos debe firmarlo cualquier tercero que tenga acceso de cualquier forma a datos personales de clientes, empleados, currículums, etc.
Los proveedores que no manejandatos pero que acceden a tu empresa, como en el caso del personal de limpieza o vigilancia, deben suscribirotro tipo de contrato.
Contenido mínimo del contrato de encargo de tratamiento
Según el RGPD, el contrato celebrado entre el Responsable y el Encargado del tratamiento, debe incluir los siguientes aspectos:- Instrucciones del Responsable
- Confidencialidad
- Medidas de seguridad
- Subcontratación
- Derechos de los interesados
- Colaboración
- Destino de los datos
Instrucciones del responsable del tratamiento
Se debe determinar de forma precisa las instrucciones respecto del encargo realizado. Así como las comunicaciones a terceros que el responsable encomienda al encargado o que se derivan del servicio prestado.Deber de confidencialidad
Debe establecerse la forma en que el encargado del tratamiento garantizará que las personas autorizadas para tratar datos personales se han comprometido a respetar la confidencialidad. Esta obligación debe quedar documentada y a disposición del responsable.Medidas de seguridad
Establecer la obligación del encargado de adoptar todas las medidas de seguridad necesarias. Asimismo, el responsable y el encargado determinarán las medidas técnicas y organizativas apropiadas para garantizar el nivel de seguridad adecuado. Incluyendo entre otras, las siguientes medidas:- la seudonimización de datos personales y el cifrado
- la capacidad de garantizar la confidencialidad, integridad y disponibilidad de los sistemas de tratamiento;
- la capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida, en caso de incidente físico o técnico;
- un proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas.
Régimen de subcontratación
El RGPD exige la autorización previa por escrito del responsable del tratamiento para que el encargado del tratamiento pueda recurrir a otro encargado (subencargado). El RGPD permite que esta autorización sea:- específica (identificación de la entidad concreta) o
- general (sólo autorizando la subcontratación, pero sin concretar la entidad).
Derecho de los interesados
Establecer la forma en la que el encargado del tratamiento asistirá al responsable en el cumplimiento de la obligación de responder a las solicitudes que tengan por objeto el ejercicio de los derechos de los interesados. Y que son los siguientes:- Acceso a datos personales,
- Rectificación
- Supresión (derecho al olvido)
- Limitación del tratamiento
- Portabilidad de datos
- Oposición
- A no ser objeto de decisiones individualizadas automatizadas (incluida la elaboración de perfiles).
Colaboración en el cumplimiento de las obligaciones del responsable
Se indicará la manera en que el encargado ayudará al responsable a:- garantizar el cumplimiento de las obligaciones referidas a la aplicación de las medidas de seguridad que correspondan,
- comunicación de violaciones de datos a los interesados,
- realización de las evaluaciones de impacto…
Destino de los datos al finalizar la prestación
Determinar si, una vez finalice la prestación de los servicios, el encargado del tratamiento debe suprimir o devolver los datos personales. El acuerdo debe establecer de forma clara cuál de las dos opciones es la elegida por el responsable, así como la forma y el plazo en que debe cumplirse.Colaboración con el responsable para demostrar el cumplimiento
Establecer la obligación del encargado de poner a disposición del responsable toda la información necesaria para demostrar el cumplimiento de todas estas obligaciones.Tipos de contratos con terceros
La normativa deProtección de Datos establecedos tipos de tratamientos de la información personal por parte de terceros:
- Comunicación o cesión de datos
- Acceso a datos por cuenta de terceros
Este tipo de relaciones son diferentes suponen obligaciones distintas para el tercero, que tienen queindicarse necesariamentemediante un contrato o documento escrito que permita demostrarsu celebración y contenido.
Mientras que en la comunicación de datos el tercero se le consideracomo cesionario, en el acceso a datos por cuenta de terceros, al tercero se le denomina encargado del tratamiento.
Estos dos tipos de relaciones tienencaracterísticas comunes, como por ejemplo, la necesidad de imponerlas medidas de seguridad precisas en el tratamiento de los datos personales,tal como se regula en la normativa de Protección de Datos.
El mantenimiento, gestión o conservación de sus datos, deberán estar regulados mediante un contrato por escrito o en alguna forma que permita acreditar su celebración y contenido.
Qué diferencia hay entre cesión de datos y acceso a datos
La diferencia principal por la que podemosdistinguirun tipo de tercero de otro es el traslado y asunción de responsabilidades.
En el caso decomunicación o cesión de datos el responsable del fichero/cedente notifica, previa información y consentimiento del interesado, los datos personales de uno o varios ficheros con el objetivo de queel cesionario:
- los usecon una finalidad autónoma,
- decida sobre el tratamiento de la información y
- trabajepor su propia cuenta y riesgo.
Sin embargo, en el acceso a datos por cuenta de terceros, el tercero encargado del tratamiento prestará sus servicios al responsable del fichero y trabajarápor cuenta y riesgo de eseresponsable, sin que el encargado del tratamiento adquierala condición de responsable del fichero. Aquílas obligaciones del encargado del tratamiento deberán recogerse claramente por escrito a través de uncontrato, yaque el tercero debe entendercon precisiónlas obligaciones a cumplir, sin que pueda disponera su arbitrio cómo tratar los datos personales.